A rosszindulatú programok ellenőrzése, eltávolítása és megakadályozása a WordPress webhelyéről

Hogyan lehet eltávolítani a rosszindulatú programokat a WordPressről

Ez a hét elég mozgalmas volt. Az egyik ismert non-profit szervezet meglehetősen nehéz helyzetbe került – a WordPress webhelyüket rosszindulatú programokkal fertőzték meg. A webhelyet feltörték, és szkripteket hajtottak végre a látogatókon, akik két különböző dolgot tettek:

  1. Megpróbálta megfertőzni a Microsoft Windows rendszert malware.
  2. Átirányított minden felhasználót egy olyan webhelyre, amely JavaScript-et használt a látogató számítógépének kiaknázására az enyém cryptocurrency.

Rájöttem, hogy a webhelyet feltörték, amikor meglátogattam, miután rákattintottam a legújabb hírlevelükre, és azonnal értesítettem őket a történtekről. Sajnos meglehetősen agresszív támadás volt, amelyet sikerült eltávolítanom, de azonnal megfertőztem a webhelyet, amikor élőben láttam. Ez a rosszindulatú programok hackerei általánosan elterjedt gyakorlata - nemcsak feltörik a webhelyet, hanem adminisztrátori felhasználót is felvesznek a webhelyre, vagy megváltoztatnak egy alapvető WordPress-fájlt, amely eltávolításuk után újból befecskendezi a hacket.

A rosszindulatú programok folyamatos probléma az interneten. A rosszindulatú programokat a hirdetések átkattintási arányának növelésére (reklámcsalás), a webhelystatisztikák növelésére használják fel a hirdetők túlterhelésére, a látogatók pénzügyi és személyes adataihoz való hozzáférés megkísérlésére, és legutóbb kriptovaluta bányászására. A bányászok jól fizetnek a bányászati ​​adatokért, de a bányagépek megépítésének és a villanyszámlák kifizetésének költségei jelentősek. A számítógépek titkos felhasználásával a bányászok költség nélkül kereshetnek pénzt.

A WordPress és más közös platformok hatalmas célpontok a hackerek számára, mivel ezek az interneten található sok webhely alapját jelentik. Ezenkívül a WordPress olyan témájú és beépülő modul-architektúrával rendelkezik, amely nem védi meg az alapvető webhelyfájlokat a biztonsági lyukaktól. Ezenkívül a WordPress közösség kiemelkedő szerepet játszik a biztonsági rések azonosításában és javításában - a webhelytulajdonosok azonban nem figyelnek annyira a webhelyük legfrissebb verzióival történő frissítésére.

Ezt a webhelyet a GoDaddy hagyományos webtárhelyének hozták létre (nem Kezelt WordPress hosting), amely nulla védelmet nyújt. Természetesen felajánlják a Malware Scanner és eltávolítás szolgáltatás. A WordPress által üzemeltetett hosting cégek, mint pl lendkerék, WP Engine, LiquidWeb, GoDaddy és Panteon mindegyik automatikus frissítéseket kínál, hogy webhelyei naprakészek legyenek, amikor a problémákat azonosítják és javítják. A legtöbben rosszindulatú programok ellenőrzik, és feketelistán szereplő témák és beépülő modulok segítik a webhelytulajdonosokat a feltörések megelőzésében. Néhány vállalat egy lépéssel tovább megy – a Kinsta – egy nagy teljesítményű menedzselt WordPress gazdagép – még a biztonsági garancia.

Ezenkívül a csapat a jetpack nagyszerű szolgáltatást kínál, amellyel naponta automatikusan ellenőrzi webhelyét rosszindulatú programok és egyéb biztonsági rések szempontjából. Ez ideális megoldás, ha saját infrastruktúráján saját maga tárolja a WordPress-t.

Jetpack WordPress-keresés rosszindulatú programokra

Használhat megfizethető harmadik feleket is rosszindulatú programok vizsgálata mint Helyszkennerek, amely naponta átvizsgálja webhelyét, és tudatja Önnel, hogy felkerült-e a feketelistára az aktív rosszindulatú programok megfigyelő szolgáltatásai között.

Feketelistára került-e webhelye rosszindulatú programok miatt:

Az interneten sok olyan webhely található, amelyek reklámoznak ellenőrzése rosszindulatú programok keresésére, de ne feledje, hogy a legtöbben egyáltalán nem ellenőrzik a webhelyet valós időben. A rosszindulatú programok valós idejű vizsgálatához harmadik féltől származó feltérképező eszközre van szükség, amely nem tud azonnali eredményt adni. Az azonnali ellenőrzést biztosító webhelyek olyan webhelyek, amelyek korábban rosszindulatú programot találtak. Néhány rosszindulatú programokat ellenőrző webhely az interneten:

  • Google átláthatósági jelentés - ha webhelyét regisztrálták a webmestereknél, azonnal figyelmeztetni fogják Önt, amikor feltérképezik a webhelyet, és rosszindulatú programokat találnak rajta.
  • Norton Safe Web - A Norton webböngésző bővítményeket és operációs rendszer szoftvereket is üzemeltet, amelyek megakadályozzák a felhasználókat abban, hogy esténként megnyissák az oldalt, ha feketelistára tették. A webhelytulajdonosok regisztrálhatnak a webhelyen, és kérhetik a webhelyük újbóli értékelését, miután az tiszta.
  • Sucuri - A Sucuri karbantartja a rosszindulatú programok webhelyeinek listáját, valamint jelentést készít arról, hogy hol kerültek feketelistára. Ha webhelyét kitakarítják, akkor a Kényszerítsen újraszkennelést link a felsorolás alatt (nagyon apró betűkkel). A Sucuri rendelkezik egy kiemelkedő pluginnal, amely észleli a problémákat ..., majd egy éves szerződésbe kényszeríti, hogy eltávolítsa azokat.
  • Yandex - ha a domainjére keres a Yandex-ben, és a következőt látja:A Yandex szerint ez a webhely veszélyes lehet ”, regisztrálhat a Yandex webmestereihez, hozzáadhatja webhelyét, navigálhat Biztonság és jogsértések, és kérje webhelyének törlését.
  • Phishtank - Egyes hackerek adathalász szkripteket helyeznek el a webhelyén, amelyek az Ön domainjét adathalász domainként vehetik fel. Ha beírja a jelentett kártevő oldal pontos, teljes URL-jét a Phishtankban, regisztrálhat a Phishtanknál, és szavazhat arról, hogy valóban adathalász webhelyről van-e szó.

Hacsak nincs regisztrálva webhelye, és van valahol megfigyelő fiókja, valószínűleg jelentést fog kapni ezen szolgáltatások egyik felhasználójától. Ne hagyja figyelmen kívül a figyelmeztetést… bár lehet, hogy nem lát problémát, téves pozitív üzenet ritkán fordul elő. Ezek a problémák azt eredményezhetik, hogy webhelye eltávolítható a keresőmotorokból, és blokkolható a böngészőkben. Ami még rosszabb, a potenciális ügyfelei és a meglévő ügyfelei kíváncsiak lehetnek arra, hogy milyen szervezettel dolgoznak együtt.

Hogyan ellenőrizheti a rosszindulatú programokat?

A fenti cégek közül többen beszélnek arról, hogy milyen nehéz rosszindulatú programokat találni, de ez nem olyan nehéz. A nehézség valójában az, hogy kitaláljuk, hogyan került az Ön webhelyére! A rosszindulatú kód leggyakrabban a következő helyen található:

  • karbantartás - Bármi előtt mutasson rá a karbantartási oldal és készítsen biztonsági másolatot a webhelyéről. Ne használja a WordPress alapértelmezett karbantartását vagy egy karbantartási plugint, mivel ezek továbbra is végrehajtják a WordPress alkalmazást a szerveren. Biztosítani szeretné, hogy senki ne futtasson PHP-fájlokat a webhelyen. Amíg itt vagy, ellenőrizd a sajátodat .htaccess fájlt a webszerveren, hogy megbizonyosodjon arról, hogy nincs olyan csaló kód, amely átirányítja a forgalmat.
  • Keresés webhelyének fájljait SFTP vagy FTP segítségével, és azonosítsa a bővítményekben, a témákban vagy az alapvető WordPress fájlokban a legfrissebb fájlváltozásokat. Nyissa meg ezeket a fájlokat, és keresse meg azokat a szerkesztéseket, amelyek parancsfájlokat vagy Base64 parancsokat adnak hozzá (a szerver-szkriptek végrehajtásának elrejtésére szolgálnak).
  • Összehasonlítás a gyökérkönyvtárban, a wp-admin könyvtárban és a wp-include könyvtárakban található alapvető WordPress fájlok, hogy lássanak-e új vagy más méretű fájlokat. Hibaelhárítás minden fájlt. Még akkor is, ha talál és eltávolít egy feltörést, nézzen tovább, mivel sok hacker otthagyja a hátsó ajtókat, hogy újra megfertőzze a webhelyet. Ne egyszerűen írja felül vagy telepítse újra a WordPress programot ... A hackerek gyakran rosszindulatú parancsfájlokat adnak a gyökérkönyvtárba, és a szkriptet más módon hívják a hack beadására. A kevésbé összetett rosszindulatú szkriptek általában csak szkriptfájlokat illesztenek be header.php or footer.php. A bonyolultabb szkriptek valóban módosítják a szerver minden PHP-fájlját újrabefecskendezési kóddal, így nehezen tudja eltávolítani azokat.
  • eltávolít harmadik fél hirdetési szkriptjei lehetnek a forrás. Nem voltam hajlandó új hirdetési hálózatokat alkalmazni, amikor olvastam, hogy online feltörték őket.
  • Jelölje be a bejegyzések adatbázis-táblázata az oldal tartalmába beágyazott szkriptekhez. Ezt úgy teheti meg, hogy egyszerű keresést végez a PHPMyAdmin használatával, és megkeresi a kérés URL-címeit vagy a szkriptcímkéket.

Mielőtt élővé tenné webhelyét ... itt az ideje, hogy megkeményítse webhelyét, hogy megakadályozza az azonnali újbóli injekciót vagy újabb feltörést:

Hogyan akadályozhatja meg webhelyének feltörését és rosszindulatú programok telepítését?

  • Ellenőrzése a webhely minden felhasználója. A hackerek gyakran szkripteket injektálnak, amelyek adminisztrátori felhasználót adnak hozzá. Távolítson el minden régi vagy fel nem használt fiókot, és hozzárendelje azok tartalmát egy meglévő felhasználóhoz. Ha van felhasználója admin, adjon hozzá egy új rendszergazdát egyedi bejelentkezéssel, és teljesen távolítsa el az adminisztrátori fiókot.
  • vissza minden felhasználó jelszavát. Számos webhelyet feltörnek, mert a felhasználó egy egyszerű jelszót használt, amelyet egy támadás során kitaláltak, és ez lehetővé tette valakinek, hogy belépjen a WordPress programba, és bármit megtehessen.
  • Kikapcsolja bővítmények és témák szerkesztésének képessége a WordPress Admin segítségével. Ezeknek a fájloknak a szerkesztése lehetővé teszi, hogy minden hacker ugyanezt tegye, ha hozzáférést kap. Írja írhatatlanná az alapvető WordPress fájlokat, hogy a parancsfájlok ne írhassák át az alapkódot. All in One van egy igazán nagyszerű pluginja, amely biztosítja a WordPress szolgáltatást keményedés rengeteg funkcióval.
  • Manuálisan töltse le és telepítse újra minden szükséges plugin legújabb verzióját, és távolítsa el az összes többi bővítményt. Feltétlenül távolítsa el azokat az adminisztratív bővítményeket, amelyek közvetlen hozzáférést biztosítanak a webhelyfájlokhoz vagy az adatbázishoz, ezek különösen veszélyesek.
  • eltávolít és cserélje le a gyökérkönyvtár összes fájlját, a wp-content mappa kivételével (tehát a root, wp-tartalmazza, wp-admin) a WordPress friss telepítésével, amelyet közvetlenül a webhelyükről töltöttek le.
  • Diff – Érdemes lehet különbséget tenni a webhely biztonsági másolata között, amikor még nem volt rosszindulatú program, és a jelenlegi webhely között… ez segít látni, hogy mely fájlok szerkesztették és milyen változtatásokat hajtottak végre. A Diff egy fejlesztői funkció, amely összehasonlítja a könyvtárakat és a fájlokat, és összehasonlítást biztosít a kettő között. A WordPress webhelyeken végrehajtott frissítések számával ez nem mindig a legegyszerűbb módszer – de néha a rosszindulatú programkód valóban kiemelkedik.
  • Fenntart te oldalad! Azon a webhelyen, ahol ezen a hétvégén dolgoztam, a WordPress régi verziója volt ismert biztonsági lyukakkal, régi felhasználókkal, akiknek már nem kellett volna hozzáférniük, régi témákkal és régi bővítményekkel. Ezek közül bármelyik megnyithatta a vállalatot a feltörés miatt. Ha nem engedheti meg magának, hogy fenntartsa a webhelyét, mindenképpen vigye át egy menedzselt hosting céghez, amelyik megteszi! Még néhány dollár elköltése a tárhelyre megmenthette volna ezt a céget ettől a zavartól.

Ha úgy gondolja, hogy mindent megjavított és megerõsített, a webhely eltávolításával élõvé teheti a webhelyet .htaccess átirányítás. Amint él, keresse meg ugyanazt a fertőzést, amely korábban ott volt. Általában egy böngésző ellenőrző eszközeit használom az oldalankénti hálózati kérések figyelemmel kísérésére. Minden hálózati kérést felkutatok, hogy megbizonyosodjak arról, hogy nem rosszindulatú programok vagy titokzatosak ... ha mégis, akkor az újra a tetejére áll, és újra elvégzi a lépéseket.

Ne feledje – ha webhelye tiszta, nem kerül automatikusan a feketelistáról. Vegye fel a kapcsolatot mindegyikkel, és kérje a fenti listánkat.

Ilyen feltörés nem szórakoztató. A vállalatok több száz dollárt számítanak fel e fenyegetések elhárításáért. Nem kevesebb, mint 8 órát dolgoztam, hogy segítsek ennek a cégnek az oldaluk megtisztításában.

Mit gondolsz?

Ez az oldal Akismet-et használ a levélszemét csökkentése érdekében. Ismerje meg, hogyan dolgozik a megjegyzésed.